Come e perché bloccare il password manager del browser in azienda

La gestione delle credenziali in ambito aziendale ha attraversato diverse fasi, passando dai file locali protetti con password ai moderni sistemi centralizzati con auditing e controllo degli accessi. Tutti i browser integrano password manager che permettono di salvare le credenziali e inserirle automaticamente nei form di login quando necessario. Così, gli utenti hanno iniziato a farne ampio uso.

Tale abitudine, apparentemente innocua, ha creato un punto critico per i team IT, soprattutto in ambienti regolamentati dove la tracciabilità e il controllo delle credenziali rappresentano requisiti fondamentali.

In molte organizzazioni, l’uso non controllato dei password manager integrati nei browser entra in conflitto con le policy di sicurezza che richiedono l’adozione di sistemi centralizzati, spesso con funzionalità di credential vaulting, rotazione automatica e integrazione con directory aziendali quali Active Directory o Azure AD. Il problema non riguarda solo la gestione, ma anche la visibilità: un password manager locale o sincronizzato con un account personale Google sfugge completamente al controllo dell’amministratore.

Perché disabilitare il password manager di Chrome in ambito enterprise

Google Chrome, Microsoft Edge, tutti i browser derivati da Chromium e Mozilla Firefox includono un sistema di gestione password, basato su salvataggio locale ed eventuale sincronizzazione  (attivabile opzionalmente per usare le credenziali da tutti i dispositivi sotto il proprio controllo).

Dal punto di vista tecnico, le credenziali vengono archiviate utilizzando meccanismi come DPAPI su Windows o Keychain su macOS, con cifratura legata al profilo utente. Questo approccio è sufficiente per uso personale, ma presenta limiti evidenti in contesti aziendali.

Il primo problema riguarda la perdita di controllo centralizzato. Se un dipendente salva credenziali aziendali nel proprio account personale, queste possono essere sincronizzate su dispositivi non gestiti. In caso di compromissione dell’account, l’attaccante può accedere direttamente a credenziali critiche. Inoltre, non esiste un meccanismo nativo per revocare l’accesso alle password salvate.

Perché le password salvate nel browser possono emergere in chiaro

Le password memorizzate da Chrome, Edge, dagli altri browser basati su Chromium e da Firefox non restano normalmente in chiaro sul disco, ma sono cifrate in locale e la chiave di protezione è custodita dal sistema operativo.

Strumenti come WebBrowserPassView e ChromePass di NirSoft riescono a mostrare l’intero archivio delle credenziali salvate da ciascun browser installato: non “rompono” la cifratura, ma leggono il database locale delle credenziali e sfruttano le API del sistema per decifrarlo quando la sessione dell’utente è già disponibile.

La conseguenza pratica è molto rilevante in azienda: se un malware, un infostealer o anche un semplice tool amministrativo gira con i privilegi dell’utente loggato, può recuperare in pochi istanti le credenziali archiviate nel browser.

La cifratura locale protegge soprattutto da accessi esterni al profilo, non da codice eseguito dentro la stessa sessione utente, ed è proprio questo il limite che rende i password manager integrati dei browser poco adatti ai contesti aziendali.

Controllo del comportamento del browser tramite policy di sistema

La soluzione più efficace non passa da interventi manuali, ma dall’applicazione di policy a livello di sistema. Chrome supporta un ampio set di Group Policy Object (GPO) che consentono di controllare il comportamento del browser in ambienti Windows e domini Active Directory.

Tra le policy più rilevanti citiamo PasswordManagerEnabled, che può essere impostata a false per disabilitare completamente il salvataggio delle credenziali attraverso il password manager del browser. La configurazione può essere distribuita tramite file ADMX ufficiali di Chrome, integrati nel dominio aziendale.

In ambienti non gestiti da dominio, oppure in scenari misti, si può ricorrere a script di enforcement. Un esempio tipico prevede la modifica del registro di sistema in Windows, agendo su chiavi come HKLM\Software\Policies\Google\Chrome.

All’interno di tale chiave, l’impostazione PasswordManagerEnabled con valore DWORD 0 disabilita la funzionalità per tutti gli utenti del sistema. Lo script può essere distribuito tramite strumenti come Microsoft Endpoint Configuration Manager, Intune o anche tramite script di login.

Un approccio più aggressivo prevede anche la disabilitazione della sincronizzazione Chrome tramite la regola SyncDisabled, impedendo agli utenti di collegare account Google personali. Ciò riduce ulteriormente il rischio di sottrazione delle credenziali.

Impedire al browser di offrire il salvataggio delle credenziali

Su Windows, la logica cambia in base al browser ma il metodo resta il classico uso delle policy amministrative.

Per Edge, si può partire dai template ufficiali Microsoft e creare un nuovo GPO da applicare. Bitwarden, che offre un software libero per la gestione sicura delle password, spiega nel dettaglio il percorso da seguire. La policy chiave è sempre PasswordManagerEnabled: quando è disabilitata, gli utenti non possono aggiungere nuove password, anche se quelle già presenti restano utilizzabili.

Anche nel caso di Chrome, la policy cruciale è PasswordManagerEnabled, che impedisce a Chrome di ricordare e salvare nuove password nel gestore integrato. Una volta applicata la modifica, si può verificare che nella pagina delle impostazioni di Chrome chrome://password-manager/settings, l’opzione Chiedi di salvare password e passkey risulti disattivata e marcata come gestita dall’organizzazione.

Per Firefox su Windows, Bitwarden usa il set di policy enterprise Mozilla. Si scaricano i template più recenti, si copiano i file ADMX e ADML nelle directory PolicyDefinitions e poi si crea il GPO dedicato.

Affinché le modifiche siano applicate su tutti i client, è necessario forzare un aggiornamento delle policy con il comando gpupdate /force, quindi aprire il browser e verificare il comportamento effettivo.

Come fare su Linux

Su Linux non è possibile usare i GPO, perché ovviamente non esistono. Per Chrome, il meccanismo passa dai file di policy gestiti dal browser.

È possibile scaricare il pacchetto Chrome Enterprise Bundle, prendere il file di preferenze iniziali – initial_preferences.json – e trasformarlo in managed_preferences.json.

Dentro la sezione “policies” va inserita la voce PasswordManagerEnabled": false. Il file viene poi distribuito in /etc/opt/chrome/policies/managed, cioè nella directory delle policy gestite di sistema. È importante impostare i permessi Unix 755 per la directory e 644 per il file, in modo che gli utenti non possano alterare la configurazione.

Per Firefox su Linux, il modello è diverso ma il concetto resta identico. Facendo riferimento alle istruzioni di Bitwarden, è sufficiente depositare nella cartella di Firefox un policies.json con la policy "PasswordManagerEnabled": false dentro l’oggetto policies.

Anche qui è fondamentale applicare i permessi 755 per la directory e 644 per il file, sempre per evitare manipolazioni indesiderate. Mozilla documenta ufficialmente proprio questo schema.

Note finali

C’è un limite operativo che la guida lascia intendere e che va rimarcato con chiarezza: nessuna delle policy “ripulisce” automaticamente le password già archiviate lato browser.

Le regole impostate impediscono nuovi salvataggi e rendono il browser gestito, ma il pregresso può restare visibile o riutilizzabile. Bitwarden, ad esempio, consiglia di importare prima le credenziali in un password manager sicuro e poi di cancellarle dal browser.

Va detto, inoltre, che gli utenti potrebbero ricorrere ad altri strumenti non autorizzati, inclusi password manager di terze parti o soluzioni cloud personali. È quindi indispensabile un approccio più ampio, che includa formazione degli utenti e controlli tecnici.